Поделиться через

Новые возможности Microsoft Sentinel

  • Статья

В этой статье перечислены последние функции, добавленные для Microsoft Sentinel, а также новые функции связанных служб, обеспечивающие улучшенное взаимодействие с пользователем в Microsoft Sentinel.

Перечисленные функции были выпущены за последние три месяца. Сведения о выпущенных ранее функциях см. в блогах технического сообщества.

Получайте уведомления об обновлении этой страницы, скопировав и вставив следующую ссылку в средство чтения веб-каналов: https://aka.ms/sentinel/rss

Примечание.

Сведения о доступности функций в облаках для государственных организаций США см. в таблицах Microsoft Sentinel в статье Доступность функций для клиентов облаков для государственных организаций США.

Сентябрь 2024 г.

Сопоставление схем, добавленное в интерфейс миграции SIEM

Так как в мае 2024 г. в мае 2024 г. стало общедоступен опыт миграции SIEM, были сделаны устойчивые улучшения, которые помогут перенести мониторинг безопасности из Splunk. Следующие новые функции позволяют клиентам предоставлять более контекстные сведения об их среде Splunk и использовании в подсистеме перевода миграции SIEM Microsoft Sentinel:

  • Сопоставление схем
  • Поддержка макросов Splunk в переводе
  • Поддержка подстановок Splunk в переводе

Дополнительные сведения об этих обновлениях см. в статье о миграции SIEM.

Дополнительные сведения о миграции SIEM см. в следующих статьях:

Сторонние мини-приложения обогащения, которые будут прекращены в феврале 2025 г.

Эффективно сразу же вы не можете включить функцию для создания мини-приложений обогащения, которые извлекают данные из внешних сторонних источников данных. Эти мини-приложения отображаются на страницах сущностей Microsoft Sentinel и в других расположениях, где представлены сведения о сущностях. Это изменение происходит, так как вы больше не можете создать хранилище ключей Azure, необходимое для доступа к этим внешним источникам данных.

Если вы уже используете какие-либо сторонние мини-приложения обогащения, то есть если это хранилище ключей уже существует, вы по-прежнему можете настроить и использовать мини-приложения, которые вы не использовали раньше, хотя мы не рекомендуем это сделать.

По состоянию на февраль 2025 года все существующие мини-приложения обогащения, которые извлекают данные из сторонних источников, перестают отображаться на страницах сущностей или в любом другом месте.

Если в вашей организации используются сторонние мини-приложения обогащения, рекомендуется заранее отключить их, удалив хранилище ключей, созданное для этой цели из своей группы ресурсов. Имя хранилища ключей начинается с "мини-приложений".

Мини-приложения обогащения на основе сторонних источников данных не влияют на это изменение и будут продолжать функционировать как раньше. "Сторонние источники данных" включают все данные, которые уже приемлены в Microsoft Sentinel из внешних источников ( другими словами, все таблицы в рабочей области Log Analytics) и Аналитика угроз Microsoft Defender.

Планы предварительной покупки теперь доступны для Microsoft Sentinel

Планы предварительной покупки — это тип резервирования Azure. При покупке плана предварительной покупки вы получаете единицы фиксации (CUS) на скидках для определенного продукта. Единицы фиксации Microsoft Sentinel применяются к соответствующим затратам в рабочей области. Если у вас есть прогнозируемые затраты, выбор правильного плана предварительной покупки экономит деньги!

Дополнительные сведения см. в разделе "Оптимизация затрат с помощью плана предварительной покупки".

Импорт и экспорт правил автоматизации теперь общедоступен (GA)

Возможность экспортировать правила автоматизации в шаблоны Azure Resource Manager (ARM) в формате JSON и импортировать их из шаблонов ARM теперь общедоступна после короткого периода предварительной версии.

Дополнительные сведения об экспорте и импорте правил автоматизации.

Соединители данных Google Cloud Platform теперь общедоступны (GA)

Соединители данных Google Cloud Platform (GCP) Microsoft Sentinel, основанные на нашей платформе соединителей без кода (CCP), теперь общедоступны. Эти соединители можно получать журналы из среды GCP с помощью возможности GCP Pub/Sub:

  • Соединитель журналов аудита Google Cloud Platform (GCP) собирает тропы аудита доступа к ресурсам GCP. Аналитики могут отслеживать эти журналы для отслеживания попыток доступа к ресурсам и обнаружения потенциальных угроз в среде GCP.

  • Соединитель Центра управления безопасностью Google Cloud Platform (GCP) собирает результаты из Центра управления безопасностью Google, надежной платформы управления безопасностью и рисками для Google Cloud. Аналитики могут просмотреть эти выводы, чтобы получить аналитические сведения о состоянии безопасности организации, включая инвентаризацию активов и обнаружение, обнаружение уязвимостей и угроз, а также устранение рисков и устранение рисков.

Дополнительные сведения об этих соединителях см. в разделе "Прием данных журнала Google Cloud Platform" в Microsoft Sentinel.

Microsoft Sentinel теперь общедоступен (GA) в Azure Central

Microsoft Sentinel теперь доступен в центральном регионе Azure Израиля , с той же функцией, что и все остальные коммерческие регионы Azure.

Дополнительные сведения см. в статье о поддержке функций Microsoft Sentinel для коммерческих и других облаков Azure и географической доступности и расположения данных в Microsoft Sentinel.

Август 2024 г.

Выход агента Log Analytics

По состоянию на 31 августа 2024 г. агент Log Analytics (MMA/OMS) уходит в отставку.

Сбор журналов из многих устройств и устройств теперь поддерживается общим форматом событий (CEF) через AMA, Syslog через AMA или пользовательские журналы через соединитель данных AMA в Microsoft Sentinel. Если вы использовали агент Log Analytics в развертывании Microsoft Sentinel, рекомендуется перенести агент Azure Monitor (AMA).

Дополнительные сведения см. в разделе:

Экспорт и импорт правил автоматизации (предварительная версия)

Управление правилами автоматизации Microsoft Sentinel в виде кода! Теперь вы можете экспортировать правила автоматизации в файлы шаблонов Azure Resource Manager (ARM) и импортировать правила из этих файлов в рамках программы для управления развертываниями Microsoft Sentinel в виде кода и управления ими. Действие экспорта создаст JSON-файл в расположении загрузки браузера, который затем можно переименовать, переместить и иначе обрабатывать как любой другой файл.

Экспортированный JSON-файл не зависит от рабочей области, поэтому его можно импортировать в другие рабочие области и даже другие клиенты. Как код, он также может управляться версиями, обновляться и развертываться в управляемой инфраструктуре CI/CD.

Файл содержит все параметры, определенные в правиле автоматизации. Правила любого типа триггера можно экспортировать в JSON-файл.

Дополнительные сведения об экспорте и импорте правил автоматизации.

Поддержка Microsoft Sentinel в мультитенантном управлении Microsoft Defender (предварительная версия)

Если вы добавили Microsoft Sentinel на платформу унифицированных операций безопасности Майкрософт, данные Microsoft Sentinel теперь доступны с данными XDR Defender в мультитенантном управлении Microsoft Defender. В настоящее время в единой платформе операций безопасности Майкрософт поддерживается только одна рабочая область Microsoft Sentinel для каждого клиента. Таким образом, мультитенантное управление Microsoft Defender отображает данные о безопасности и управлении событиями (SIEM) из одной рабочей области Microsoft Sentinel на каждый клиент. Дополнительные сведения см. в разделе многотенантное управление Microsoft Defender и Microsoft Sentinel на портале Microsoft Defender.

Соединитель данных класса Premium Аналитика угроз Microsoft Defender (предварительная версия)

Лицензия premium для Аналитика угроз Microsoft Defender (MDTI) теперь разблокирует возможность приема всех индикаторов premium непосредственно в рабочую область. Соединитель данных MDTI класса Premium добавляет больше в возможности поиска и исследований в Microsoft Sentinel.

Дополнительные сведения см. в статье "Анализ угроз".

Унифицированные соединители на основе AMA для приема системного журнала

После прекращения выхода агента Log Analytics Microsoft Sentinel объединила коллекцию и прием сообщений системного журнала, CEF и пользовательского формата журналов в три соединителя данных с несколькими назначениями на основе агента Azure Monitor (AMA):

  • Системный журнал с помощью AMA для любого устройства, журналы которого передаются в таблицу Syslog в Log Analytics.
  • Общий формат событий (CEF) через AMA для любого устройства, журналы которого передаются в таблицу CommonSecurityLog в Log Analytics.
  • Обновление! Пользовательские журналы через AMA (предварительная версия)для любого из 15 типов устройств или любого неподписаемого устройства, журналы которых обрабатываются в пользовательские таблицы с именами, заканчивающимися _CL в Log Analytics.

Эти соединители заменяют почти все существующие соединители для отдельных типов устройств и устройств, которые существовали до сих пор, которые были основаны на устаревшем агенте Log Analytics (также известном как MMA или OMS) или текущем агенте Azure Monitor. Решения, предоставляемые в центре содержимого для всех этих устройств и устройств, теперь включают в себя все эти три соединителя, соответствующие решению.* Замененные соединители теперь помечены как "Устаревшие" в коллекции соединителей данных.

Графики приема данных, которые ранее были найдены на странице соединителя каждого устройства, теперь можно найти в книгах для конкретного устройства, упакованных с решением каждого устройства.

* При установке решения для любого из этих приложений, устройств или устройств, чтобы обеспечить установку сопроводительного соединителя данных, необходимо выбрать "Установить с зависимостями " на странице решения, а затем пометить соединитель данных на следующей странице.

Обновленные процедуры установки этих решений см. в следующих статьях:

Улучшена видимость событий безопасности Windows

Мы улучшили схему таблицы SecurityEvent, в которую размещаются события Безопасность Windows, и добавили новые столбцы для обеспечения совместимости с агентом Azure Monitor (AMA) для Windows (версия 1.28.2). Эти улучшения предназначены для повышения видимости и прозрачности собранных событий Windows. Если вы не заинтересованы в получении данных в этих полях, можно применить преобразование времени приема (например, project-away), чтобы удалить их.

Новый план хранения вспомогательных журналов (предварительная версия)

Новый план хранения вспомогательных журналов для таблиц Log Analytics позволяет получать большое количество журналов больших объемов с дополнительным значением для обеспечения безопасности с гораздо более низкой стоимостью. Вспомогательные журналы доступны в интерактивном режиме хранения в течение 30 дней, в которых можно выполнять простые одно табличные запросы, например суммировать и агрегировать данные. После этого 30-дневного периода вспомогательные данные журнала переходит на долгосрочное хранение, которое можно определить до 12 лет при ультра-низкой стоимости. Этот план также позволяет выполнять задания поиска для данных в долгосрочном хранении, извлекая только записи, которые вы хотите получить в новую таблицу, которую можно рассматривать как обычную таблицу Log Analytics, с полными возможностями запроса.

Дополнительные сведения о вспомогательных журналах и сравнении с журналами Аналитики см . в планах хранения журналов в Microsoft Sentinel.

Дополнительные сведения о различных планах управления журналами см. в статье "Общие сведения о планах управления журналами Azure Monitor" в документации по Azure Monitor.

Создание сводных правил в Microsoft Sentinel для больших наборов данных (предварительная версия)

Microsoft Sentinel теперь предоставляет возможность создавать динамические сводки с помощью правил сводки Azure Monitor, которые объединяют большие наборы данных в фоновом режиме для более плавной работы с безопасностью на всех уровнях журналов.

  • Результаты сводного правила доступа через язык запросов Kusto (KQL) для обнаружения, исследования, охоты и отчетности.
  • Выполнение запросов с высокой производительностью язык запросов Kusto (KQL) для суммированных данных.
  • Используйте сводные результаты правила для более длительных исследований, охоты и соответствия требованиям.

Дополнительные сведения см. в разделе "Статистические данные Microsoft Sentinel" с помощью правил сводки.

Июль 2024 г.

Оптимизация SOC теперь общедоступна

Интерфейс оптимизации SOC на порталах Azure и Defender теперь общедоступен для всех клиентов Microsoft Sentinel, в том числе как для данных, так и для рекомендаций на основе угроз.

  • Используйте рекомендации по значению данных, чтобы улучшить использование данных для приема оплачиваемых журналов, получить видимость для неиспользуемых журналов и обнаружить правильные обнаружения для этих журналов или правильные корректировки уровня журнала или приема.

  • Используйте рекомендации, основанные на угрозах, чтобы помочь выявить пробелы в охвате конкретных атак на основе исследований Майкрософт и устранить их путем приема рекомендуемых журналов и добавления рекомендуемых обнаружений.

recommendations API по-прежнему находится в предварительной версии.

Дополнительные сведения см. в разделе:

Соединитель платформы бизнес-технологий SAP (BTP) теперь общедоступен (GA)

Решение Microsoft Sentinel для SAP BTP теперь доступно в общедоступной версии. Это решение обеспечивает видимость среды SAP BTP и помогает обнаруживать и реагировать на угрозы и подозрительные действия.

Дополнительные сведения см. в разделе:

Теперь общедоступная унифицированная платформа безопасности Майкрософт

Microsoft Sentinel теперь общедоступен на платформе унифицированных операций безопасности Майкрософт на портале Microsoft Defender. Платформа унифицированных операций безопасности Майкрософт объединяет все возможности Microsoft Sentinel, Microsoft Defender XDR и Microsoft Copilot в Microsoft Defender. Дополнительные сведения см. на следующих ресурсах:

Июнь 2024 г.

Платформа соединителя без кода теперь общедоступна

Платформа соединителя без кода (CCP) теперь общедоступна (GA). Ознакомьтесь с записью блога о объявлении.

Дополнительные сведения об улучшениях и возможностях CCP см. в статье "Создание соединителя без кода для Microsoft Sentinel".

Доступны расширенные возможности поиска индикаторов угроз

Возможности поиска и фильтрации угроз были улучшены, а интерфейс теперь имеет четность на порталах Microsoft Sentinel и Microsoft Defender. Поиск поддерживает не более 10 условий, каждый из которых содержит до 3 подклаузов.

Дополнительные сведения см. на обновленном снимке экрана в представлении индикаторов угроз и управлении ими.

Следующие шаги

Подключение к Azure Sentinel

Получение видимости оповещений